Pesquisadores criaram perfis falsos em apps de saúde e descobriram que a maioria compartilha seus dados
Usar aplicativos para lembrar dos horários de tomar remédios ou buscar por sintomas de sua última doença pode ser conveniente. Mas um novo estudo publicado nesta semana destaca os riscos ocultos à privacidade de entregar informações sensíveis de saúde. Especificamente, aplicativos médicos adoram coletar os seus dados, mas só alguns relevam o que estão fazendo com eles e com quem estão compartilhando essas informações.
Pesquisadores do Canadá, Estados Unidos e Austrália se juntaram para o estudo, publicado na última quarta-feira (20) no periódico BMJ. Eles testaram 24 aplicativos populares relacionados à saúde que foram utilizados por pacientes e médicos dos três países em smartphones Android. Entre os aplicativos mais populares estavam o site de referência médica Medscape, o verificador de sintomas Ada e o guia de remédios Drugs.com. Alguns dos aplicativos lembravam os usuários para tomarem seus remédios, enquanto outros ofereciam informações sobre as drogas ou sintomas de doenças. O Ada, inclusive, é popular entre usuários brasileiros.
Eles criaram quatro perfis falsos para usar cada um desses aplicativos. Para estabelecer uma linha de base de onde o tráfego de rede relacionado aos dados dos usuários estavam sendo transmitidos durante o uso do aplicativo, cada um deles foi utilizado 14 vezes com as mesmas informações de perfil. Então, antes do 15º uso, os pesquisadores realizaram pequenas modificações nas informações do usuário. Nesse uso final, eles procuraram por diferenças no tráfego de rede, o que indicaria que dados de usuários obtidos pelo app estavam sendo compartilhados com terceiros, além de mostrar para onde esses dados estavam indo.
No geral, eles descobriram que 79% dos aplicativos, incluindo os três listados acima, compartilharam pelo menos algum dado de usuário para além de sua própria plataforma. Enquanto algumas entidades únicas que tinham acesso aos dados os usaram para melhorar as funções dos apps, como manutenção da nuvem ou para lidar com relatos de erros, outros provavelmente estavam usando as informações para criar anúncios adaptados para outras empresas.
Ao investigar esses terceiros, os pesquisadores também descobriram que muitos deles vendiam a habilidade de juntar dados de usuários e compartilhá-los com companhias que nem eram da indústria da saúde, como agências de relatórios de créditos. E embora esses dados sejam supostamente anônimos, os autores descobriram que certas empresas tinham enviado dados o suficiente para construir a identidade de algum usuário caso quisessem.
O estudo não é o primeiro a mostrar que aplicativos compartilham nossos dados sem muita preocupação com a privacidade. Mas os autores disseram que essa é a primeira vez que aplicativos de saúde são investigados diretamente. E pelo jeito não há muito o que os usuários possam fazer sobre suas informações circulando para além das empresas que desenvolvem os apps, muito menos sobre a segurança disso e a possibilidade de vazamentos.
“O grande problema aqui é que não encontramos nada que seja considerado ilegal. E essas práticas de compartilhamento de dados são rotineiras na indústria”, disse a principal autora do estudo e professora assistente na Faculdade de Enfermagem Lawrence S. Bloomberg da Universidade de Toronto, Quinn Grundy, ao Gizmodo. “Mas se você olhar para as pesquisas de opinião, as pessoas sentem que seus dados de saúde são particularmente sensíveis e pessoais e, portanto, deveriam ser protegidos”.
Grundy e seu time também descobriram que enquanto alguns apps revelam a possibilidade de compartilhamento de dados em seus termos de privacidade, eles raramente revelam onde essa informação pode chegar. Além disso, nenhum aplicativo de compartilhamento de dados dá às pessoas a possibilidade de recusar a partilha. Até que ponto essas políticas de privacidade são úteis, mesmo informando as pessoas que suas informações serão reveladas para outras? É algo bem discutível.
Grundy e seus coautores observaram no artigo que, apenas no ano passado, um aplicativo australiano que marcava consultas médicas revelou compartilhar dados de pacientes com escritórios de advocacia especializados em lesões corporais. Embora a empresa tenha informado adequadamente os usuários sobre o compartilhamento de dados, o Ministério da Saúde do governo prometeu uma investigação.
Houve alguns esforços governamentais para proteger melhor os dados das pessoas, o mais notável sendo a GDPR, na União Europeia. Mas embora a equipe de Grundy tenha notado um aumento na transparência sobre como os dados foram compartilhados por alguns aplicativos após a aprovação do GDPR, ainda há a questão fundamental de saber se esses dados devem ser compartilhados, considerando os riscos.
Grundy acrescentou que, embora a GDPR certamente seja um bom começo, os governos de todo o mundo deveriam começar a estabelecer um padrão de privacidade global, que poderia decidir que esse tipo de compartilhamento de dados fosse completamente proibido.
Por enquanto, os clientes não têm voz ativa no que as empresas podem fazer com seus dados quando decidem compartilhá-los. Mas Grundy disse que havia algumas boas notícias em suas descobertas.
Alguns dos aplicativos que eles estudaram, como My PillBox (que envia lembretes para medicação) ou DrugDoses (um aplicativo australiano que ajuda os médicos a descobrir as doses certas para diferentes grupos de pacientes) não compartilhavam dados externos. E há algumas iniciativas que as pessoas preocupadas com privacidade podem adotar para se proteger.
“Acho que um consumidor que é muito vigilante pode procurar por aplicativos específicos, especialmente algum que funcione offline e que não solicite acesso à internet. Dessa forma, esses usuários saberiam com certeza que seus dados não estão sendo enviados para outro lugar ”, disse ela.
Grundy e sua equipe esperam expandir suas pesquisas para aplicativos em iPhones, bem como descobrir os riscos que essas práticas de compartilhamento de dados representam para os consumidores.